Monitora il tipo di traffico specifico su un router Cisco

9

È possibile monitorare un tipo di traffico specifico che passa attraverso un router Cisco? (come il monitoraggio tramite WireShark)

Es .: Voglio monitorare il traffico http specificamente che passa attraverso un router. (o DNS, FTP, ...)

cisco  monitoring  troubleshooting  cisco-commands 
Bulki
fonte

Risposte:

13

È possibile monitorare il traffico

  • sul router, Cisco IOS 12.4 (20) T e versioni successive, è disponibile una funzione di acquisizione dei pacchetti , con filtro su nome e direzione dell'interfaccia e ACL.

    • impostare un elenco di accesso per abbinare il traffico
    • creare un buffer di acquisizione monitor capture buffer holdpackets filter access-list <number>
    • definire un punto di acquisizione monitor capture point ...possibilmente con il nome dell'interfaccia, la direzione e altro - utilizzare l'aiuto in linea per vedere le possibilità
    • lascia passare il traffico
    • guarda il buffer di acquisizione :, show monitor capture buffer holdpackets dumpusa exportinvece di dumpottenere un file PCAP per l'analisi di Wireshark
    • non dimenticare di interrompere l'acquisizione, rimuovere il punto di acquisizione ed eliminare successivamente il buffer di acquisizione

    Per dettagli ed esempi, seguire il collegamento o consultare un manuale di risoluzione dei problemi di Cisco .

  • sullo switchport, a cui è collegato il router, per questo è possibile impostare una porta mirror sullo switch e monitorarla tramite Wireshark

  • sul firewall, dove passa il traffico

    Gli ASA Cisco sono in grado di eseguire l'acquisizione di pacchetti in remoto e di fornire l'output come file PCAP che è possibile aprire localmente con Wireshark. ASDM fornisce un assistente per questo. Passo dopo passo, è possibile specificare l'interfaccia di origine e destinazione, ACL o reti / host src / dest e il protocollo che si desidera guardare. Ecco perché mi piace avere ASA sul posto ovunque - con una CLI del router può sembrare un po 'complicato.

Schermata della procedura guidata di acquisizione dei pacchetti

Stefan
fonte
5

Sui router ISR G1 / G2 è possibile utilizzare la funzione di acquisizione dei pacchetti, in cui si utilizza ACL per abbinare il traffico e archiviarlo in memoria durante l'acquisizione, quindi scaricare in formato compatibile .pcap se è necessario offline:

https://supportforums.cisco.com/docs/DOC-5799

Sul Catalyst 4500 con i supervisori più recenti è possibile eseguire WireShark.

Łukasz Bromirski
fonte
3

I metodi migliori (a mio avviso) sono già stati menzionati, quindi semplicemente in caso di essere su un dispositivo senza quelle funzioni interessanti, un'opzione di fallback è debug ip packetcon un elenco di accesso.

jwbensley
fonte
2

Netflow è un altro metodo alternativo per monitorare i flussi di traffico. È meglio se desideri conoscere i dettagli solo ai livelli 3 e 4. Le informazioni possono anche essere visualizzate localmente sul router senza la necessità di Wireshark.

henklu
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.